1.Bảo vệ chống lại những BPDU không mong muốn

a. Bảo vệ Root ( Root Guard )

• switch A và B là một đường truyền chính của mạng, và switch A là root bridge. Switch C nằm ở lớp truy cập.
• Kết nối giữa B và C bị chặn bên phía C để chống vòng lặp.
• Những mũi tên hiển thị đường đi của STP BPDU.

• Các ưu tiên của switch D là 0 hay giá trị nào thấp hơn độ ưu tiên của root bridge, D được bầu là Root bridge mới.
• Tính năng bảo vệ Root sẽ chống lại những vấn đề như vậy xãy ra, tránh thay đổi cấu trúc STP có sẵn, làm gián đoạn việc truyền tải thông tin.
• Các tính năng bảo vệ root được cấu hình trên các cổng cơ sở. Tính năng này chỉ được cấu hình trên các designated port, không được cấu hình trên các root port. Nếu một BPDU tốt hơn đến trên cổng này, tính năng bảo vệ root sẽ không lấy BPDU root STP mới.
• Kích hoạt tính năng bảo vệ root trên tất cả các cổng nơi các root bridge không nên xuất hiện tại vị trí đó trong cấu trúc.

Tính năng Root guard được phát triển như một phương tiện để kiểm soát nơi mà các root bridge có thể xuất hiện.
Về cơ bản, thì một switch học bridge ID của root bridge hiện hành. Nếu một switch nhận được một BPDU giới thiệt có bridge ID tốt hơn bridge hiện hành trên cổng đã kích hoạt chức năng Root guard, nó sẽ không cho switch mới đó trở thành root bridge mới.
Tính năng này rất hữu ích cho những hệ thống lớn, không làm ảnh hưởng đến năng xuất lao động, đảm bảo thông tin thông suốt trong hệ thống.


b.Bảo vệ BPDU ( BPDU Guard )

• Thông thường, PortFast cung cấp chức năng truy cập nhanh cho các thiết bị ở tầng truy xuất, nơi các vòng lặp được dự kiến là không thể xảy ra. Ngay cả khi PortFast được kích hoạt trên một cổng, STP vẫn đang hoạt động và có thể phát hiện một vòng lặp. Tuy nhiên một, vòng lặp chỉ được phát hiện trong thời gian hữu hạn khi các switch thay đổi trạng thái các cổng theo các bước thông thường.
• Giả sử rằng một switch bị gắn nhầm vào cổng đã kích hoạt port fast.
• Các tính năng BPDU Guard được phát triển để bảo vệ hệ thống nếu các trường hợp này xảy ra. Nếu bất kỳ BPDU (cho dù thiết bị cấp trên có đến được root hay không) được nhận vào một cổng nơi BPDU Guard được kích hoạt, là ngay lập tức cổng đó bị đưa vào trạng thái errdisable. Cổng đó sẽ trong tình trạng báo lỗi và bất hoạt cho đến khi được cấu hình lại hoặc theo một cơ chế hẹn giờ để bật lại.
• BPDU Guard nên cần thiết được sử dụng trên những cổng đã được cấu hình port fast.
• Không bao giờ được cấu hình BPDU guard trên bất kì đường đi lên root bridge. Nếu cấu hình BPDU guard trên các cổng đó, khi nhận được BPDU, cổng sẽ lập tức bị đưa vào trạng thái lỗi và không hoạt động, gây ra sự cố kết nối, ảnh hưởng có thể rất lớn đên1 hệ thống: bị gián đoạn toàn bộ hệ thống.

2. Chống mất BPDU đột ngột

a.Chống lặp ( loop Guard ):

Switch3 không nhận được BPDUs từ Switch 2 do đó chúng tự nhận biết rằng liên kết giữ chúng gặp sự cố.
Cổng trong trạng thái block của switch 3 chuyển vào trạng thái listening sau khi kết thời gian max age. Và tiêu tốn thêm 30 giây cho 2 lần delay.
Và kết quả là ta nhận được một vòng lặp “ hoàn hảo ” cho dù vẫn mất thời gian đình trệ hệ thống.



Với sự bảo vệ chống vòng lặp được kích hoạt, các cổng ở trạng thái block trên Switch 3 chuyển thành trạng thái phát hiện thấy vòng lặp (STP loop-inconsistent) khi hết thúc thời gian MAX age. Một cổng ở trạng thái phát hiện vòng lặp ( STP loop-inconsistent ) , thì dữ liệu sẽ không được chuyển tiếp qua đây, vì vậy vòng lặp sẽ không được hình thành. Trạng thái này của cổng cũng có khả năng ngăn chặn vòng lặp tương đương với STP.

b. UDLD – Chống nhiều hướng liên kết (Unidirectional Link Detection)

UDLD là một giao thức Layer 2 làm việc với Layer 1 để xác định tình trạng của một liên kết vật lý. Tại Layer 1 chế độ tự điều chỉnh (auto-negotiation) chỉ xác định tình trạng kết nối của đường dẫn vật lý và phát hiện lỗi. UDLD thực hiện nhiệm vụ mà chức năng tự điều chỉnh của layer 1 không thể thực hiện, chẳng hạn như phát hiện nhận dạng của các thiết bị lân cận và tắt các cổng kết nối. Khi kích hoạt cả hai chết độ auto-negotiation và UDLD trên Layer 1 và 2, chúng đều nhận diện và làm việc cùng nhau để ngăn chặn các kết nối vật lý và logic theo một chiều và các hỏng hóc có thể xảy ra trên các giao thức khác.

Tin nhắn UDLD được gửi đều đặn, miễn là liên kết đang hoạt động. Có thể cấu hình khoảng gửi tin UDLD (mặc định là 15 giây). Mục đích của việc cấu hình UDLD là phát hiện các kết nối một chiều trước khi cơ chế STP đưa các cổng từ trạng thái block sang trạng thái forward. Để làm điều này, thời gian UDLD phải được ít hơn so với Max age cộng với hai lần delay, (hoặc 50 giây). UDLD có thể phát hiện một liên kết một chiều sau khoảng ba lần nhắn UDLD (tổng số 45 giây nếu sử dụng mặc định).

UDLD có 2 phương thức hoạt động:

• Normal mode – chế độ thông thường: khi một điều kiện liên kết một chiều được phát hiện, cổng được phép tiếp tục hoạt động. UDLD chỉ đơn thuần là gắn một thông báo lên cổng đó và tạo ra một thông điệp vào hệ thống.
• Aggressive mode - Chế độ linh hoạt: khi một điều kiện liên kết một chiều được phát hiện, switch sẽ thiết lập lại liên kết. Tin nhắn UDLD được gửi ra lần thứ hai trong 8 giây. Nếu không có những tin nhắn được trả lại , cổng được đặt ở trạng thái lỗi (Errdisable) và nó không thể được sử dụng.